ベーシックセキュリティグループに比べ、アドバンストセキュリティグループには、より多くの ECS インスタンスと ENI を含めることができます。また、無制限の数のプライベート IP アドレスを管理することもできます。 アドバンストセキュリティグループは VPC ネットワークに適用可能で、ルールを追加する仕組みが簡素化されています。 アドバンストセキュリティグループは、O&M 効率、ECS インスタンス仕様、コンピューティングノードの要件がより高いシナリオで使用可能です。
機能比較
ECS インスタンスまたは ENI をベーシックセキュリティグループとアドバンストセキュリティグループの両方に追加できないため、ネットワーク環境を計画する前に、2 つのセキュリティグループタイプの機能の違いを理解しておくことを推奨します。 ベーシックセキュリティグループの詳細は、「セキュリティグループ」をご参照ください。
| 項目 | ベーシックセキュリティグループ | アドバンストセキュリティグループ |
|---|---|---|
| すべてのインスタンスタイプをサポートしているか。 | はい | いいえ。 IPv6 インスタンスのみをサポートします。 |
| VPC をサポートしているか。 | はい | はい |
| クラシックネットワークをサポートしているか。 | はい | いいえ |
| ルールのプライオリティを指定できるか。 | はい | いいえ |
| 他のセキュリティグループに付与されたアクセス権限か。 | はい | いいえ |
| 許可のセキュリティグループルールを手動で設定するか。 | はい | はい |
| 拒否のセキュリティグループルールを手動で設定するか。 | はい | いいえ。 アドバンストセキュリティグループの場合、デフォルトですべてのアクセスリクエストは拒否されます。 |
| サポートされる ENI の数 | セキュリティグループ内の ECS インスタンスの数によって制限されます。 | 50,000 |
| どのインスタンスタイプにも ENI をバインドできるか。 | はい。 インスタンスネットワークタイプは VPC である必要があります。 | いいえ。 ENI をバインドできるのは、IPv6 をサポートするインスタンスタイプのみです。 |
| プライベート IP アドレスの数 | 2,000 | 制限なし |
制限
- 2019 年 5 月 30 日より前に作成された ECS インスタンスをアドバンストセキュリティグループに追加することはできません。
- アドバンストセキュリティグループに追加できるのは、IPv6 をサポートするインスタンスタイプのみです。 詳細は、「インスタンスタイプファミリー」をご参照ください。
- ECS インスタンスと ENI には、セキュリティグループタイプに関して次の要件があります。
- ECS インスタンスは、ベーシックセキュリティグループとアドバンストセキュリティグループの両方に追加できません。
- ENI は、ベーシックセキュリティグループとアドバンストセキュリティグループの両方に追加できません。
- ENI が ECS インスタンスにバインドされている場合、どちらも同じセキュリティグループタイプに属していなければなりません。
コンソール操作
ECS コンソールでは、次のようにアドバンストセキュリティグループを使用できます。
- アドバンストセキュリティグループを作成します。 [セキュリティグループタイプ] を [アドバンストセキュリティグループ] に設定します。
- アドバンストセキュリティグループに許可ルールを追加します。
アドバンストセキュリティグループは、通信のホワイトリストに相当します。 許可ルールのみを作成でき、ルールにプライオリティ値を設定することはできません。 権限付与オブジェクトは、セキュリティグループではなく、CIDR ブロックでなければなりません。
- IPv6 をサポートする ECS インスタンスをアドバンストセキュリティグループに追加します。 ECS インスタンスは、ベーシックセキュリティグループとアドバンストセキュリティグループの両方に追加できません。
- アドバンストセキュリティグループで ENI を使用するには、次の手順を実行します。
- ENI が既にベーシックセキュリティグループに追加されている場合、ENI の属性変更により、ENI をアドバンストセキュリティグループに追加できます。
- ENI を ECS インスタンスにバインドします。
- (オプション) アドバンストセキュリティグループを管理します。 たとえば、タグの追加、名前や説明の変更、アドバンストセキュリティグループの ECS インスタンスの管理などが可能です。
API 操作
- CreateSecurityGroup を呼び出し、 SecurityGroupType を enterprise に設定します。
セキュリティグループを作成する前に、VPC と VSwitch が作成されていることを確認してください。
- AuthorizeSecurityGroup を呼び出して、アドバンストセキュリティグループへの受信トラフィックを許可するルールを追加します。 権限付与オブジェクトは、セキュリティグループではなく、CIDR
ブロックでなければなりません。
アドバンストセキュリティグループは、通信のホワイトリストに相当します。 Policy は、デフォルトで accept に設定されています.。 Priority は空白のままにできますが、IpProtocol、PortRange、SourcePortRange (オプション)、SourceCidrIp、DestCiderIp は指定する必要があります。
- AuthorizeSecurityGroupEgress を呼び出して、送信ルールをアドバンストセキュリティグループに追加します。
- JoinSecurityGroup を呼び出して、VPC タイプの ECS インスタンスをアドバンストセキュリティグループに追加します。
- アドバンストセキュリティグループで ENI を使用するには、次の手順を実行します。
- ENI が既にベーシックセキュリティグループに追加されている場合、ModifyNetworkInterfaceAttribute を呼び出して、ENI をアドバンストセキュリティグループに追加します。
- AttachNetworkInterface を呼び出して、アドバンストセキュリティグループに追加されている ENI を ECS インスタンスにアタッチします。
- (オプション) DescribeSecurityGroups を呼び出して、現在のリージョンに作成されているセキュリティグループのリストを表示します。